Классификация фирусов

Содержание

Слайд 2

Классификация – это важно

Классифика́ция — система — система группировки — система группировки

Классификация – это важно Классифика́ция — система — система группировки — система
субъектов — система группировки субъектов исследования или наблюдения в соответствии с их общими признаками.
Классификация объектов производится согласно правилам распределения заданного множества объектов на подмножества (классификационные группировки) в соответствии с установленными признаками их различия или сходства

Слайд 3

Определение

Определение Евгения Касперского:
ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты

Определение Определение Евгения Касперского: ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать
(не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера ипрочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
ГОСТ Р 51188-98:
Вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.

Слайд 4

Определение (2)

Вредоносная программа – компьютерная программа или переносной код, предназначенный для реализации

Определение (2) Вредоносная программа – компьютерная программа или переносной код, предназначенный для
угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС.

Слайд 5

Три группы

Вирусы
Трояны
Cетевые черви

Три группы Вирусы Трояны Cетевые черви

Слайд 6

Классификация угроз

Вредоносные программы

Классификация угроз Вредоносные программы

Слайд 7

ВИРУСЫ

ВИРУСЫ

Слайд 8

Жизненный цикл

Жизненный цикл
1. Проникновение на компьютер
2. Активация вируса
3. Поиск объектов для заражения
4.

Жизненный цикл Жизненный цикл 1. Проникновение на компьютер 2. Активация вируса 3.
Подготовка вирусных копий
5. Внедрение вирусных копий

Слайд 9

Проникновение

вместе с зараженными файлами или другими объектами, никак, в отличие от червей,

Проникновение вместе с зараженными файлами или другими объектами, никак, в отличие от
не влияя на процесс проникновения.

Слайд 10

Активация

Загрузочные вирусы – вирусы, заражающие загрузочные сектора постоянных и сменных носителей (Virus.Boot.Snow.a,

Активация Загрузочные вирусы – вирусы, заражающие загрузочные сектора постоянных и сменных носителей
Virus.Boot.DiskFiller)
Файловые вирусы – вирусы, заражающие файлы. а) Собственно файловые вирусы (Virus.Win9x.CIH)
б) Макровирусы (Macro.Word97.Thus)
в) Скриптвирусы (Virus.VBS.Sling)

Слайд 11

Поиск жертв

Получив управление, вирус производит разовый поиск жертв, после чего передает управление

Поиск жертв Получив управление, вирус производит разовый поиск жертв, после чего передает
ассоциированному с ним зараженному объекту (Virus.Multi.Pelf.2132)
Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется (Virus.DOS.Anarchy.6093)

Слайд 12

Подготовка копий

Технологии маскировки:
Шифрование
Метаморфизм
Результат:
Шифрованный вирус
Метаморфный вирус
Полиморфный вирус (Virus.Win32.Etap)

Подготовка копий Технологии маскировки: Шифрование Метаморфизм Результат: Шифрованный вирус Метаморфный вирус Полиморфный вирус (Virus.Win32.Etap)

Слайд 13

Внедрение

2 метода:
Внедрение вирусного кода непосредственно в заражаемый объект
Замена объекта на вирусную копию.

Внедрение 2 метода: Внедрение вирусного кода непосредственно в заражаемый объект Замена объекта
Замещаемый объект, как правило, переименовывается (вирус-компаньон Email-Worm.Win32.Stator.a)

Слайд 14

ЧЕРВИ

ЧЕРВИ ♥

Слайд 15

Черви

Определение:
Червь (сетевой червь) – тип вредоносных программ, распространяющихся по сетевым каналам, способных

Черви Определение: Червь (сетевой червь) – тип вредоносных программ, распространяющихся по сетевым
к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Слайд 16

Жизненный цикл

Жизненный цикл
Проникновение в систему
Активация
Поиск «жертв»
Подготовка копий
Распространение копий

Жизненный цикл Жизненный цикл Проникновение в систему Активация Поиск «жертв» Подготовка копий Распространение копий

Слайд 17

Каналы распространения

По типу используемых протоколов:
Сетевые черви
Почтовые черви
IRC-черви
P2P-черви
IM-черви

Каналы распространения По типу используемых протоколов: Сетевые черви Почтовые черви IRC-черви P2P-черви IM-черви

Слайд 18

Активация

Для активации необходимо активное участие пользователя
Для активации участие пользователя не требуется вовсе

Активация Для активации необходимо активное участие пользователя Для активации участие пользователя не
либо достаточно лишь пассивного участия

Слайд 19

Поиск жертв

На основе используемых протоколов:
Сканирование IP-адресов
Адресная книга почтовых клиентов
Список контактов интернет-пейджеров и

Поиск жертв На основе используемых протоколов: Сканирование IP-адресов Адресная книга почтовых клиентов
IRС-клиентов
Каталоги общего доступа пиринговых сетей

Слайд 20

Подготовка копий

Такие же как и у вирусов.
Наиболее популярный метод:
Упрощенный метаморфизм (черви могут

Подготовка копий Такие же как и у вирусов. Наиболее популярный метод: Упрощенный
менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла)

Слайд 21

ТРОЯНЫ

ТРОЯНЫ

Слайд 22

Трояны

Определение:
Троян (троянский конь) – тип вредоносных программ, основной целью которых является вредоносное

Трояны Определение: Троян (троянский конь) – тип вредоносных программ, основной целью которых
воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Слайд 23

Жизненный цикл

Жизненный цикл
Проникновение на компьютер
Активация
Выполнение заложенных функций

Жизненный цикл Жизненный цикл Проникновение на компьютер Активация Выполнение заложенных функций

Слайд 24

Способы проникновения

Маскировка (Trojan.SymbOS.Hobble.a)
Кооперация с вирусами и червями

Способы проникновения Маскировка (Trojan.SymbOS.Hobble.a) Кооперация с вирусами и червями

Слайд 25

Активация

Тоже что и у червей:
Для активации необходимо активное участие пользователя
Для активации участие

Активация Тоже что и у червей: Для активации необходимо активное участие пользователя
пользователя не требуется вовсе либо достаточно лишь пассивного участия

Слайд 26

Функционал

Клавиатурные шпионы (Keylogger)
Похитители паролей (Trojan-PSW)
Утилиты удаленного управления (Backdoor)
Анонимные smtp-сервера и прокси (Trojan-Proxy)
Утилиты

Функционал Клавиатурные шпионы (Keylogger) Похитители паролей (Trojan-PSW) Утилиты удаленного управления (Backdoor) Анонимные
дозвона (Trojan-Dialer)
Модификаторы настроек браузера (Trojan-Clicker, Trojan-StartPage)
Логические бомбы (Virus.Win9x.CIH, Macro.Word97.Thus)

Слайд 27

Новая классификация

Новая классификация

Слайд 28

Новая классификация (2)

Новая классификация (2)

Слайд 29

Правила именования

Behaviour.OS.Name[.Variant..]
Behaviour ‑ определяет поведение детектируемого объекта. Для вирусов и червей поведение определяется по

Правила именования Behaviour.OS.Name[.Variant..] Behaviour ‑ определяет поведение детектируемого объекта. Для вирусов и
способу распространения, для троянских программ и malicious tools поведение определяется по совершаемым ими несанкционированным пользователем действиям. Для PUP- по функциональному назначению детектируемого объекта.  
OS ‑ операционная система, под которой выполняется вредоносный или потенциально-нежелательный программный код.
Name ‑ имя детектируемого объекта, позволяет выделять семейства детектируемых объектов.
Variant ‑ модификация детектируемого объекта. Может содержать как цифровое обозначение версии программы, так и буквенное обозначение, начиная с ‘.a’: ‘a’ ‑ ‘z’, ‘aa’ ‑ ‘zz’, ...
*Variant не является обязательным в имени и может отсутствовать
Имя файла: Классификация-фирусов.pptx
Количество просмотров: 139
Количество скачиваний: 0